*DLP - стандартное DLP-решение (Data Leak Prevention)
позиционируется как решение по защите от утечек данных и противодействию
инсайдерам
От темы пандемии сейчас трудно абстрагироваться, поэтому проведу параллели с DLP.
Представим любую организацию в виде человеческого организма, в котором
завелся вирус (в терминах DLP - инсайдер). Наша задача, найти в организме
информацию о вирусе (инсайдере), который где-то там движется по кровеносным
сосудам организма (организации). Прежде всего нас, конечно, интересует работа
сердца (бизнес-процессы организации), чистота легких (пусть это в контексте DLP
будет электронная почта) и взаимодействие разных клеток крови: эритроцитов (например,
сотрудников), которые переносят кислород и углекислый газ, лейкоцитов (сотрудников с
повышенными привилегиями в информационных системах), обеспечивающих
работу иммунной системы, и тромбоцитов (руководство), обеспечивающих
свертываемость крови.
Как и в медицине, тромбоциты некоторыми учёными не считаются клетками, так
и мы, в контексте борьбы с утечками и инсайдерами, руководство организации
иногда выводим за скобки мониторинга DLP-системами.
Принято определять здоровье организма, измеряя температуру тела
(информацию, которая движется в электронном виде внутри сети). Иногда еще
измеряют пульс (в контексте DLP пусть будет модуль по контролю рабочего времени).
Совокупность всех измеряемых параметров организма помогает поставить
диагноз (собрать доказательную базу): вирус (инсайдер) есть или его нет. Иногда
вирус (инсайдер) может до определенного времени вообще никак себя не проявлять
- болезнь протекает бессимптомно.
Если у вас нет вакцины, то вам трудно защитить организм от неизвестного
вируса. Такой “вакциной” в контексте DLP могут быть искусственный интеллект
(ИИ), машинное
обучение, нейронные
сети. С их помощью можно автоматизировать процесс обнаружения защищаемых данных в компании, что
позволит целенаправленно лечить те “органы”, которые в этом нуждаются.
Борясь с пандемией, неразумно покупать аппараты ИВЛ впрок, не зная
предположительно, сколько у вас будет лёгочных больных и, тем более ставить их
всем подряд без разбора, чтобы просто оправдать их приобретение. Но именно так
приходится поступать при покупке DLP-лицензий, приобретая их впрок, без
какой-либо статистики
аналогичных случаев (инцидентов).
Даже, если а) проведена оценка рисков в компании (поставлен диагноз – не
факт, что правильный) б) руководство сформулировало вам задачу: “закрутить
гайки” и держать курс на “терзать и трясти” собственных сотрудников, это вовсе
не означает, что вам выдан карт-бланш на мониторинг всего и вся и
неограниченный бюджет на эти цели.
Покупая DLP-систему, вы, примерно, должны представлять, сколько системных агентов вам
понадобится для мониторинга каналов. Понимать логику комбинирования
возможностей различных DLP-агентов с другими инструментами
системы: механизмами управления инцидентами, парсерами, анализаторами
протоколов, перехватчиками и так далее.
Технологии стали главным источником информации. Но пока “выявлять
чувствительные персональные данные и разбираться с ними столь же сложно, как и
определять, какая корпоративная информация сохранила или потеряла свою деловую
ценность с течением времени” (Старший вице-президент по стратегическим вопросам
компании Titus Марк Кассетта (Mark Cassetta).
Полную версию статьи читайте в номере журнала "Information
Security/Информационная безопасность" №3, 2020
С Международным днём блогера! (отмечается
в Сети 14 июня)
Комментариев нет:
Отправить комментарий